意図せず公開しているS3バケットはありませんか?〜S3アクセス権限設定を見直そう〜 | DevelopersIO
西澤です。S3のアクセス権は適切に管理されていますでしょうか?大変恥ずかしながら私はお客様のS3バケットに対するアクセス権について不適切な設定をしてしまったことがあります。 先日、素晴らしいアップデートがありましたので、それをご紹介しつつ、この記事をご覧になった方がS3バケットのアクセス権を見直すきっかけになればと思い、自戒の意味もこめて、まとめ記事を書いておこうと思います。 S3への不適切なアクセス権限設定が招く事故 つい先日も下記のような記事がありましたが、S3へのアクセス権限が不適切な状態だった為に、意図しない情報が外部に漏洩してしまうというニュースを目にすることがあります。 相次ぐAmazon S3の設定ミスによる情報漏えい事故(大元隆志) - 個人 - Yahoo!ニュース 誤解の無いように声を大にしてお伝えしたいのですが、これらについてAWSサービス側には何ら問題はありません。
Amazon S3の設定ミスを狙う攻撃、"GhostWriter"(大元隆志) - エキスパート - Yahoo!ニュース
CASBベンダーのSkyhigh Networksは、Amazon S3の設定不備をついた新たなセキュリティ脆弱性「GhostWriter」を発見したと発表した。これは、AmazonのS3バケットの権限が「Public Write」等の書き込み可能に設定されたまま外部公開されており、攻撃者等からS3バケットに保管されているファイルを上書き可能な状態となっているというもの。これだけで被害があるわけでは無いが、この状態で放置していると、中間者攻撃(Man-in-the-Middle攻撃)に利用される恐れがある。 ■中間者攻撃とは? 中間者攻撃とは、通常のやりとりの「中間」に攻撃者が侵入し、潜伏することを指す。例えばAとBが通信をするために、Cを経由しなければならないとすると、攻撃者がCに潜み、盗聴したり、マルウェアを潜入させたりする。 A氏--C拠点--B氏 <--このC拠点に潜む攻撃を中間者
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
